Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es
un organismo no gubernamental y no depende de ningún otro organismo
internacional, por lo tanto, no tiene autoridad para imponer sus normas a
ningún país.
Estructura de la organización
Miembros suscritos, países con reducidas economías a los que se les exige el
pago de tasas menores que a los correspondientes.
Comercio electrónico
La Serie 27000
La seguridad de la información tiene asignada la serie 27000 dentro de
los estándares ISO/IEC:
• ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y
definiciones que se emplean en toda la serie 27000.
• UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la
Información (SGSI). Requisitos”. Fecha de la de la versión española 29
Noviembre de 2007. Es la norma principal de requisitos de un Sistema de
Gestión de Seguridad de la Información. Los SGSIs deberán ser
certificados por auditores externos a las organizaciones. En su Anexo A,
contempla una lista con los objetivos de control y controles que
desarrolla la ISO 27002 (anteriormente denominada ISO17799).
• ISO 27002: (anteriormente denominada ISO17799).Guía de buenas
prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información con 11
dominios, 39 objetivos de control y 133 controles.
• ISO 27003: En fase de desarrollo; probable publicación en 2009.
Contendrá una guía de implementación de SGSI e información acerca del
uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su
origen en el anexo B de la norma BS 7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías
de implantación.
• ISO 27004: En fase de desarrollo; probable publicación en 2008.
Especificará las métricas y las técnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantación de un SGSI y de los
controles relacionados.
• ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la
gestión del riesgo de la seguridad de la información y sirve, por tanto, de
apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de
la ISO 13335.
• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para
acreditación de entidades de auditoría y certificación de sistemas de
gestión de seguridad de la información.
Introducción
ISO/IEC 12207 establece un proceso de ciclo de vida para el software
que incluye procesos y actividades que se aplican desde la definición de
requisitos, pasando por la adquisición y configuración de los servicios del
sistema, hasta la finalización de su uso. Este estándar tiene como
objetivo principal proporcionar una estructura común para que
compradores, proveedores, desarrolladores, personal de mantenimiento,
operadores, gestores y técnicos involucrados en el desarrollo de software
usen un lenguaje común. Este lenguaje común se establece en forma de
procesos bien definidos....
Estructura
La estructura del estándar ha sido concebida de manera flexible y
modular de manera que pueda ser adaptada a las necesidades de
cualquiera que lo use. Para conseguirlo, el estándar se basa en dos
principios fundamentales: Modularidad y responsabilidad. Con la
modularidad se pretende conseguir procesos con un mínimo
acoplamiento y una máxima cohesión. En cuanto a la responsabilidad, se
busca establecer un responsable para cada proceso, facilitando la
aplicación del estándar en proyectos en los que pueden existir distintas
personas u organizaciones involucradas.
Procesos
Los procesos se clasifican en tres tipos: Principales, de soporte y de la
organización. Los procesos de soporte y de organización deben existir
independientemente de la organización y del proyecto ejecutado. Los
procesos principales se instancian de acuerdo con la situación particular.
• Procesos principales.
○ Adquisición.
○ Suministro.
○ Desarrollo.
○ Explotación.
○ Mantenimiento.
• Procesos de soporte.
○ Documentación
○ Gestión de la configuración.
○ Aseguramiento de calidad.
○ Verificación.
○ Validación.
○ Revisión conjunta.
○ Auditoría.
○ Resolución de problemas.
• Procesos de la organización.
○ Gestión.
○ Infraestructura.
○ Mejora.
○ Formación.